Кратко

МВД объявило о пресечении работы Telegram-бота Userbox (User_Search). Задержан предполагаемый создатель и владелец. Изъяты мобильные устройства, серверы и >40 ТБ данных. Доход сервиса оценён в 13–16 млн ₽ в месяц. Возбуждено дело по ч. 5 и ч. 6 ст. 272.1 УК РФ. Функционирование бота прекращено. 

Хронология и факты

31 октября 2025. СМИ сообщили о задержании Игоря Морозкина. Бот перестал работать.  2 ноября 2025. Официальное сообщение МВД: сервис пресечён. Организатор задержан в Санкт-Петербурге. Изъято серверное оборудование и более 40 ТБ данных. Оценка доходов — 13–16 млн ₽/мес. Дело по 272.1 УК РФ ч. 5, ч. 6.  Ведомство указало: бот давал доступ к адресам проживания, сведениям о доходах, счетах, транспорте и прочим данным из утечек.  Userbox позиционировали как «альтернативу» «Глазу Бога», чья работа ранее была признана незаконной судом. 

Презумпция невиновности действует. Итоги зависит от суда.

Что такое «боты для пробива» и откуда у них данные

Модель. Телеграм-бот принимает запросы по номеру телефона, нику, e-mail. Возвращает агрегированные записи. Источники — базы из утечек и «полуоткрытые» реестры, иногда — злоупотребление API сторонних сервисов.

Техническая схема.

Бэкенд с БД на десятках терабайт. Загрузчики дампов утечек. Индексация и нормализация. Очередь запросов от бота. Тарифы по подписке или «кредиты» за запрос.

Важно. Это не OSINT в правовом смысле. OSINT — открытые и законно доступные источники. «Пробив» опирается на незаконно полученные персональные данные. Именно на это нацелена новая ст. 272.1 УК РФ. 

Правовая квалификация: ст. 272.1 УК РФ

С декабря 2024 действует ст. 272.1 УК РФ. Она вводит отдельную уголовную ответственность за:

незаконные использование, передачу, сбор, хранение компьютерной информации с персональными данными, полученной незаконно; создание или обеспечение функционирования ресурсов, предназначенных для незаконного хранения/распространения таких данных (это как раз ч. 6). Максимум — до 10 лет лишения свободы при квалифицирующих признаках. 

МВД прямо указывает на ч. 5 и ч. 6 в деле Userbox. 

Смежные нормы, которые могут всплыть по обстоятельствам дела:

ст. 272 УК РФ (неправомерный доступ к компьютерной информации).  ст. 137 УК РФ (нарушение неприкосновенности частной жизни) при распространении интимных сведений. ст. 183 УК РФ (коммерческая тайна) при утечках из компаний. Применимость зависит от доказательств и квалификации суда. Источники в публичных сообщениях сейчас акцентированы на 272.1. 

Почему дело Userbox резонансно

Масштаб. Изъято >40 ТБ. Это множество исторических дампов и индексов.  Монетизация. 13–16 млн ₽/мес указывает на зрелый рынок «пробива».  Риск для граждан. Дешёвая подписка обеспечивала доступ «любому желающему» и подпитывала мошенничество и «социнж».  Тренд на зачистку рынка. Ранее прекращалась работа «Глаза Бога». Принятие 272.1 усилило правоприменение в 2025 году. 

Как такие сервисы находят и закрывают

Точки уязвимости.

Платёжные следы. Маркетплейсы платежей и обменники. Логи CDN/VPS и дата-центров. Операторы ботов и администраторские чаты. Партнёрки и реселлеры «кредитов». Поведенческие метки в Telegram-инфраструктуре (бот-токены, IP-пулы, вебхуки).

Типовая процедура.

Опережающая оперативно-розыскная разработка. Слежение за инфраструктурой и финансами. Обыски. Изъятие носителей. Экспертизы БД и переписки. Квалификация по 272.1. Формальное описание шагов МВД прослеживается в релизах по Userbox. 

Риски для граждан

Фишинг и вишинг с использованием «верифицированных» персональных данных. Кража денег через социальную инженерию и привязанные счета. SIM-swap и привязки 2FA при слабой защите у оператора. Доксинг и шантаж.

Риски для бизнеса

BEC/CEO-fraud с использованием реальных паспортных и платёжных данных сотрудников. Целевые атаки с предварительным сбором профилей. Репутационные и правовые последствия при утечках: 152-ФЗ, регуляторные проверки, иски. Внутренние инсайды и слив клиентских баз через партнёров.

Что делать гражданам: практические шаги

Самозапрет на кредиты через «Госуслуги»/МФЦ. Выберите полный или дистанционный запрет. Это бесплатно и обратимо.  Двухфакторная аутентификация в банках, почте, мессенджерах. Аппаратный ключ там, где возможно. Контроль утечек. Проверяйте почты и телефоны в легальных сервисах мониторинга компрометации. Меняйте пароли. Банковские лимиты и уведомления. Включите пуш-подпись операций, суточные лимиты, запрет CNP-операций при необходимости. Осторожность с «псевдобухгалтерами». МВД фиксирует новую схему захвата аккаунтов через легенду «бухгалтерия муниципалитета». Не сообщайте коды и токены. 

Что делать бизнесу: минимально достаточные меры

Политики и процессы

Классифицируйте данные и сократите доступы по принципу Least Privilege. Включите журналирование и ретенцию логов по критическим системам. Закройте все внешние панели. Проверьте MFA-by-default. Договоры с подрядчиками: DPIA и SLA по безопасности, штрафы за утечки.

Техника

DLP/NDR/EDR на рабочих станциях и периметре. Passwordless/MFA для админов. Secret scanning и ротация токенов. TLS pinning для внутренних мобильных приложений. Жёсткий анти-ботинг в пользовательских API. Honey-tokens в БД для отслеживания несанкционированных копий.

Аудит и контроль

Еженедельный vuln-scan внешнего периметра. Tabletop-учения по сценарию утечки. План реагирования: сбор артефактов, уведомление Роскомнадзора, взаимодействие с банками и ЦБ.

Как распознать незаконный «пробив» и не стать соучастником

Признаки:

Обещание «полных досье» за «подписку». Доступ к банковским счетам, движению средств, чужим паспортам. Отсутствие прозрачной оферты и юридического лица. Работа через ботов и «криптокошельки» без чеков.

Юридические риски есть не только у организаторов. Покупка и использование незаконно добытых персональных данных тоже образует состав нарушения. Изучите положения 272.1 УК РФ и риски вторичного распространения. 

Почему рынок «пробива» рос и почему его начали давить

Спрос. Мошенникам нужны точные профили жертв. Бизнесу и частным лицам нравятся «быстрые проверки».

Предложение. Десятки утечек из частных компаний и гос-сервисов за годы.

Сдвиг 2024–2025. Появление 272.1 УК РФ дало органам специальный инструмент. В 2025 году усилились преследования крупных ботов. Случай Userbox — часть этой тенденции. 

Вопросы и ответы

Зачем нужен объём >40 ТБ?

Для полнотекстового поиска по множеству утечек и индексов. Это типичный масштаб для агрегаторов. Факт объёма подтверждён МВД. 

Почему доходы так высоки?

Подписка массовая. Низкий порог входа. Ресурс востребован у злоумышленников. Оценку дал официальный спикер МВД. 

Это навсегда?

Функционирование этого бота прекращено. Клонирование возможно, но преследование по 272.1 теперь проще. 

Чек-лист для страницы «Безопасность» на вашем сайте

Политика обработки ПДн. Кнопка удаления/исправления данных. Двухфакторная аутентификация. Раздел «Как распознать мошенника». Ссылка на самозапрет кредитов на Госуслугах.  Контакты для инцидентов и требования к формату обращений. Публичный PGP-ключ для безопасной переписки. Bug bounty/VDP.

Источники

Официальные сообщения и сводки: ТАСС, РИА Новости, РБК, Фонтанка. Подробности о задержании, объёме данных, доходах, квалификации по 272.1.  Текст ст. 272.1 УК РФ и разбор норм.  Дополнительно: новости о самозапрете на кредиты и инструкции ЦБ/Госуслуг. 

Услуги

Оказываю услуги по защите информации и кибербезопасности. Напишите через раздел «О себе» на сайте или через кнопку WhatsApp.